rootkitの封じ込めを狙うインテル・マカフィーの新技術
最近の標的型攻撃で頻繁に用いられるrootkitの新たな対策技術をインテルとマカフィーが共同開発。年内に製品化する同技術の全容を明らかにした
インテルとマカフィーは6月19日、両社が共同開発したセキュリティ新技術「DeepSafe」に関する説明会を開催した。同技術はPCに搭載する「McAfee Deep Defender」およびPC運用管理支援の「McAfee ePO Deep Command」として年内に国内提供を予定している。
DeepSafeは、OSのカーネル部などで動作する不正プログラムのrootkitの検出・駆除と感染阻止を目的にしたもの。両社は2年前から共同開発を進めてきた。
rootkitはマルウェアなどを隠ぺいして、ウイルス対策ソフトの検知から逃れる役割を果たす。2000年代半ばから数多く出回るようになり、近年ではrootkitを簡単に作成できるサイバー攻撃ツールも登場したことから増加傾向にある。
「標的型攻撃など使うマルウェアがセキュリティ対策ソフトなどに検知されないよう、rootkitを用いるケースも目立つ」(マカフィー プロフェショナル担当サービス部長の兜森清忠氏)という。マルウェアの発見が遅れれば、その間に企業内から機密情報やパスワードなどのデータが漏えいし続けてしまう。
同社をはじめウイルス対策ベンダー各社は、2000年後半から統合型セキュリティソフトなどでrootkit検出機能を提供するようになった。当初の検出機能は、OSのAPIを介してOSの上位層での実行プロセスを監視し、異常なプロセスが伴う場合にrootkitとして検出するようにしていた。
マカフィー セールスエンジニアリング本部の宮本浩二氏によれば、最近のrootkitは検出機能の監視の目が行き届かないカーネルなど下位層で活動するようになり、対策製品に応じた検出回避の仕組みも持つようになったことから、従来の手法が通じにくくなった。
OSの下位層で活動するrootkitは、例えば、検査対象のPCからHDDを取り外して別のPCにつなぎ、そのPCのセキュリティソフトでスキャンすることで検出できる場合があるという。しかし企業など大量のPCを保有する環境でこうしたスキャンを行うのは現実的ではない。仮にrootkitを検出しても、OSの重要なファイルに感染していることから、駆除によってファイルも削除され、OSが正常に動作しなくなる恐れがある。
こうした現状に対処するため、両社では「DeepSafe」の開発を進めてきたという。
DeepSafe技術を製品化したDeep Defenderは、インテルの最新版プロセッサ(Sandy Bridge)のCore i シリーズに既に搭載されている。Core i プロセッサの仮想化支援機能VT-xを利用して動作し、OSのカーネルメモリのプロセスをリアルタイムに監視。正常プロセスと異なる不審な振る舞いを検知すると、エージェントツールが定義ファイルやマカフィーの脅威データベースにインターネット経由で照会する。rootkitと特定された場合、これを削除する。
なおDeep Defenderの利用条件があり、現状では対応OSがWindows 7のみであることや、Type 1型の仮想化ハイパーバイザ(VMware ESXやMicrosoft Hyper-Vなど)を併用できないこと、マカフィーのセキュリティ製品(VirusScan EnterpriseやePolicy Orchestrator)の利用といった点がある。対応OSの拡大やハイパーバイザの併用などは今後の開発課題だとした。
一方のePO Deep Commandは、Deep Defenderを利用するPCの管理やインテル vPro テクノロジーを利用したPCの運用管理を行うツールとなる。Deep Defenderからアラートを受信して管理者に通知したり、LAN上のPCを遠隔から起動させてOSやアプリケーションのセキュリティアップデートを実施したりといったことができる予定だという。
マカフィーとの協業についてインテル マーケティング本部プラットフォーム・マーケティング・エンジニアの坂本尊志氏は、「OSをより安全に利用できるようになるなど、従来のセキュリティ対策では難しかったさまざまな課題に対応していけるだろう」と話す。
先日来日した米McAfee シニアバイスプレジデント兼ゼネラルマネジャーのスティーブ・ペトラッカ氏によれば、新製品の提供時期は企業向けが2012年中、コンシューマー向けが2013年になるという。マカフィー プロダクトマーケティング部の松久育紀氏は、「具体的にユーザーがどのように利用できるかなどを7月に発表したい」と話している。
関連記事
- McAfee幹部が語る次のセキュリティ対策――「ネットにつながるものは守る」
- McAfee、Intelのハードウェア技術を活用したセキュリティ新製品を発表
- vProユーザーの気になる最新のPC管理術、開発中のツールもお披露目
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。